2018年7月3日,慢雾安全团队披露了USDT上的假充值问题。当交易所或钱包在检测USDT入账时没有对交易中的vaild字段进行校验的时候,就会产生USDT假充值漏洞。近日,根据慢雾区情报,有黑客采取新型USDT假充值手法,黑客采取在Omni上发行其他类型的代币伪造成USDT对交易所或钱包进行USDT假充值,当交易所或钱包在检测USDT充值时如果没有校验交易中的propertyid,就会导致假充值情况的发生。经慢雾安全团队验证,已有交易所因此问题导致损失。由于USDT在Omni协议上的广泛使用,大多数人认为Omni协议上只有USDT,导致忽略Omni协议上的其他类型的不知名币种,容易造成假充值问题。慢雾安全团队建议交易所或钱包自查USDT入账逻辑,必要时联系慢雾安全团队进行验证。
慢雾升级Web3钱包安全审计项:金色财经报道,加密安全公司慢雾官方宣布升级Web3钱包安全审计项,具体包括针对浏览器扩展钱包的安全审计项、针对移动端和桌面端钱包的安全审计项,旨在尽可能地保证 Web3 钱包客户端上的安全,降低加密货币资产被盗的风险。此外,慢雾安全团队提出用户交互过程的安全审计,包含:WYSIWYS(所见即所签策略);AML 策略;anti-phishing 策略;pre-execution 策略等多个策略来抵御黑客的攻击。[2023/6/6 21:19:11]
慢雾安全:警惕Big Data Protocol合约相关风险:据慢雾区消息,知名DeFi项目Big Data Protocol因项目自身代码Bug出现无法正常领取奖励的问题。经慢雾安全团队分析,此问题系Big Data Protocol的BDP代币合约在mint函数中对seePoolAmount变量做了错误的校验,导致合约功能无法正常执行。目前合约用户只能通过紧急提现函数对资金进行提现。但紧急提现函数无法同时提现挖矿收益。
慢雾安全团队提醒用户注意Big Data Protocol合约风险,如有参与,可通过emergency Withdraw函数将资金安全取出。[2021/3/12 18:40:04]
动态 | 慢雾区表示Augur重大漏洞是一个典型的前端黑攻击:据慢雾区消息,此前报道的去中心化预测市场平台 Augur 被曝发现重大漏洞问题是一个典型的前端黑攻击。这种攻击依赖一些条件,比如攻击者需要准备好一个页面链接(不是 Augur 链接),并无论通过什么手法能让安装了 Augur 的用户访问到,然后用户需要重启 Augur 应用,这样才能形成后续的攻击。由于此时 Augur 应用里配置的 Augur 节点地址被替换了,后续的攻击本质就是一种 MITM(中间人)攻击,理论上确实可以做很多恶事。慢雾安全团队特此提醒:这是前端黑攻击里的跨私有域攻击的一种常见手法,其他项目方也应该注意。[2018/8/8]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。